Фишинг под брендом CDEK: троянец BTMOB RAT крадёт данные под видом трекера посылок

Фишинговый ресурс, зарегистрированный в доменной зоне .icu, появился в сентябре 2025 года и был активно обновлён в октябре. Первоначально он точно копировал дизайн настоящего сайта компании, предлагая пользователям скачать приложение «CDEK.apk». После обновления страница стала более минималистичной: ключевой элемент, кнопка загрузки, был закреплён в верхней части экрана, что упрощало доступ к вредоносному файлу. Некоторые ссылки вели на официальный сайт, что дополнительно вводило жертв в заблуждение. Обнаружив угрозу, эксперты Angara MTDR, которая является корпоративным центром ГосСОПКА, оперативно передали информацию о ресурсе в Национальный координационный центр по компьютерным инцидентам для блокировки.

Распространяемый через сайт файл представляет собой последнюю версию троянца семейства BTMOB RAT (Remote Access Trojan - троянец удалённого доступа). Этот вредонос активно развивается с декабря 2024 года и распространяется по модели «вредоносное ПО как услуга» через Telegram-каналы. Его ключевая особенность - двухэтапная установка и агрессивное использование социальной инженерии для получения расширенных разрешений на устройстве. Без этих разрешений приложение остаётся безвредным, поэтому оно постоянно напоминает пользователю о необходимости «обновить» или «донастроить» сервис, мимикрируя под системные уведомления.

После успешного получения прав приложение раскрывает свой полный функционал. Оно предоставляет злоумышленнику почти неограниченный контроль над устройством. В арсенале троянца - запись экрана и звука, кража файлов, SMS, контактов, истории вызовов, данных из буфера обмена, а также отслеживание местоположения. Более того, вредонос может самостоятельно устанавливать другие приложения, внедрять код в веб-страницы и блокировать попытки своего удаления. Когда пользователь пытается открыть настройки приложения для его удаления, система просто показывает рабочий стол.

Технический анализ показал, что BTMOB RAT хорошо защищён от исследований. Все его компоненты обфусцированы с помощью упаковщика APKEditor, а критичные данные, такие как адреса командного центра (C2) и строки, зашифрованы с использованием XOR и AES. Вредоносная нагрузка скрыта внутри установщика в зашифрованном виде и извлекается только в процессе мнимого «обновления». Стоит отметить, что BTMOB RAT является наследником известных троянцев SpyMAX и Craxs RAT, но значительно превосходит их по уровню скрытности и сложности.

Распространение подобных угроз через модель MaaS кардинально снижает порог входа в киберпреступную деятельность. Злоумышленнику не требуется глубоких технических знаний или своей инфраструктуры. Достаточно купить подписку, с помощью конструктора настроить внешний вид троянца под нужный бренд и распространить его, например, через фишинговый сайт. Вся управляющая инфраструктура, панель администрирования и поддержка предоставляются оператором MaaS.

Несмотря на многоступенчатую схему заражения, которая требует от пользователя последовательного выполнения нескольких опасных действий, атаки остаются успешными. Современные версии Android на каждом этапе предупреждают об опасности выдачи разрешений, однако социальная инженерия продолжает эффективно обходить эту защиту. Эксперты напоминают о базовых правилах цифровой гигиены: устанавливать приложения только из официальных магазинов Google Play и RuStore, никогда не давать сторонним программам разрешение на установку из неизвестных источников и внимательно читать системные предупреждения о запрашиваемых правах. Этот случай наглядно показывает, что рынок вредоносного ПО развивается по законам легального IT-бизнеса, делая сложные кибератаки доступными для широкого круга злоумышленников.

IPv4

• 80.85.154.174

IPv4 Port Combinations

• 195.160.221.203:8080

Domains

• cdektrack.icu